Türkiye, saldırı yapan ve saldırıya uğrayan ülkeler arasında ilk sıralarda yer alıyor. Buna karşılık siber güvenlik konusunu ele alabilecek yetkili bir kurum tek başına bulunmuyor. Siber güvenlik hiç şüphesiz son yılların en popüler konularından birisi. Giderek dijitalleşmekte olan dünyanın en önemli sorunlarından biri de siber güvenlik olmuştur. Sınırları tanımlanamayacak kadar geniş ve bir o kadar da karmaşık hale gelmeye başlamakta olan siber güvenliği, bu alanda sektörde 10 yıldan fazla tecrübesi olan, önemli kamu ve özel sektör projelerinde çalışmış ekibiyle müşterilerine destek olmakta olan Kıta Kırmızı Takım’ın kurucusu Yunus Çadırcı ile konuştuk. Şirketiniz ve faaliyetleriniz hakkında bilgi verir misiniz? Temmuz 2015 tarihinde kurulmuş dinamik bir firmayız. Kıta Kırmızı Takım A.Ş. olarak, kurum ve firmaların siber güvenlik ihtiyacını kapsamlı bir şekilde ele alıyoruz. Kırmızı Takım hizmetiyle, saldırganların yöntemleriyle örtüşen çalışmalar gerçekleştirip, bir kuruluşa yapılabilecek kapsamlı saldırıların modellenmesini sağlıyoruz. Böylece gelecekte gerçekleşmesi muhtemel saldırıların önlemini almış oluyoruz. Kırmızı Takım hizmeti yanında, uygulama/yazılım güvenliği, güvenli kod geliştirme, SIEM analizi, kapsamlı güvenlik değerlendirme konularında da danışmanlık veriyoruz. Hizmetlerimiz telekomünikasyon, enerji, bankacılık, perakende sektörlerinin kullandığı her türlü yazılım kaynağını kapsıyor. Bu danışmanlık hizmetleri, dünya çapında kabul edilmiş standartlar çerçevesinde veriliyor.   Siber güvenlik haricinde vermiş olduğunuz başka hizmetler var mı? Örnek verebilir misiniz? Siber güvenlik konusu ana çalışma alanımız. Siber güvenlik hizmeti verebilmek için, güncel donanım ve yazılım teknolojilerini takip etmek gerekiyor. Bu kapsamda, yazılım stres ve yük testleri de yapmaktayız. Bir şirketin siber güvenlik olgunluğu yanında sistemlerin ne kadar yükle çalışabileceğini de ölçümleyebiliyoruz. Aynı anda hem siber güvenlik hem de stres ve yük testi hizmeti verdiğimiz kuruluşlar oldu. Örnek olarak, son olarak tamamladığımız iş yurtdışında teslim ettiğimiz bir işti. İşin kapsamında hem siber güvenlik hem de stres ve yük testi hizmetlerimiz vardı. Sektörde verilmekte olan stres ve yük testleri açısından bakıldığında gerçekleştirilmesi gereken bu test, hem yazılım hem de donanım testleri gibi karmaşık testler içerdiğinden bizim açımızdan da müşteri açısından da son derece önemli bir test süreciydi. Sonuç itibariyle, yeni kurulmuş bir danışmanlık şirketi olarak ilk altı ay içerisinde oldukça özelleşmiş işler yapmış olduk. Bu aynı zamanda hizmet ihracı olarak da referanslarımız içerisinde kayda geçmiştir.   Bu hizmetlerin önemi nedir? Siber güvenlik konusunda ne gibi bir yenilik sağlıyorsunuz? Kırmızı takım hizmeti, teknoloji konusunda lider ülkelerin benimsemiş olduğu en temel yaklaşım. Türkiye’de günümüzde Bilgi Güvenliği konusunda yapılan çalışmaların bir adım daha öteye taşınması için Kırmızı Takım hizmetinin yaygınlaştırılması gerektiğini biliyoruz. Standart penetrasyon testleri firma ve kurumların güvenlik ihtiyaçlarını karşılamakta yetersiz kalıyor. Kırmızı Takım hizmetiyle iş ve sistem süreçlerine etkin bir şekilde güvenlik hizmeti sağlanmakta olup, o kuruluşun güvenlik durumu net bir şekilde ortaya konuyor. Dolayısıyla, vermiş olduğumuz bu hizmet bu hizmeti alan kurum ve firmalar için son derece stratejik bir önem arz ediyor. Bunun yanında, bu hizmeti alan kurum ve kuruluşların güvenlik olgunluk derecesi de belirlendiğinden, kuruluşa ait güvenlik ekiplerinin de gerekirse eğitim ihtiyaçları karşılanmaktadır. Standart güvenlik çalışmaları kapsama göre yürütülürken, Kırmızı Takım hizmetiyle daha çok hedefe yönelik çalışmalar yapılıyor. Hedefler, kuruluşun sahip olduğu sistemlerin incelenmesi sonrası belirleniyor. Dolayısıyla, bu stratejik yaklaşım aynı zamanda taktik anlamda da tarafımızca destekleniyor.   Siber güvenlik konusunda Türkiye’deki mevcut durum nedir? Türkiye, saldırı yapan ve saldırıya uğrayan ülkeler arasında ilk sıralarda yer alıyor. Buna karşılık siber güvenlik konusunu ele alabilecek yetkili bir kurum tek başına bulunmuyor. Dolayısıyla, ülkemizde siber güvenlik konusunda hem kamu hem de özel sektör işbirliği ve eşgüdümü sağlanmalı, geçmişte hazırlanmış olan siber devlet yasasının yeniden gündeme getirilerek stratejik bir mevzuat oluşturulması gerekiyor. Siber güvenlikten bahsedebilmek için, bilgi bütünlüğü, bilginin gizliliği ve erişilebilirliği konularının ele alınması lazım. Türkiye’de siber güvenlik alanında yapılan çalışmalar umut verici olmakla birlikte, bu konuda yapılması gereken çalışmalara daha çok kaynak ayrılması gerektiği aşikar. Siber güvenlik konusu teknolojinin kullanımı ve yaygınlaşmasıyla birlikte artık her bireyi ilgilendiren bir konu haline geldi. Dolayısıyla oluşturulacak siber güvenlik mevzuatı ve politikaları kapsamında yalnızca kurum ve kuruluşlar değil, teknolojileri kullanan her türlü bireyin de koruma altına alınması sağlanabilir. Ulusal seviyede kritik altyapı ve envanterin belirlenmesi, asgari güvenlik ihtiyaçlarının belirlenmesi, kullanılan yazılım ve donanımların sertifikalı ürün olmasının sağlanması, bu yazılım ve donanımları kullanan personelin eğitim ihtiyaçlarının belirlenmesi ve eğitilmesi, sistemlerin periyodik olarak test edilmesi ve güvenlik standartlarının uygulanması, kritik altyapılara ait verilerin gizlilik politikalarına uygun bir şekilde saklanmasına ihtiyaç var.   Siber güvenlik suçları hakkında bilgi verebilir misiniz? Alınması gereken önlemler nelerdir? Siber ve bilgi güvenliği suçları bireyin kendisinden, ülkenin tamamını kapsayacak bir etkide bulunabilir. Son derece ciddi sonuçlar doğurabilir. Dolandırıcılık, sahtecilik, siber taciz ve şantaj, elektronik medya üzerinden dağıtılan yasadışı içerikler, kuruluşlar tarafından verilen hizmetlerin engellenmesi/aksatılması, sosyal mühendislik saldırıları, uyuşturucu ticareti, insan ticareti vb. suçlar toplumun her kesimini herhangi bir değer ayırt etmeksizin etkileyebilir. Ek olarak, siber saldırı yöntem ve çeşitleri gün geçtikçe artıyor. Böylece, bilginin mahremiyeti tahmin edilemez şekilde artan bir şiddette risk altında kalıyor. Vatandaşların bilinçlendirilmesi, kurum ve kuruluşların siber güvenlik politikalarının yoksa oluşturulması varsa eksikliklerin güncellenmesi, konuyla ilgili altyapının geliştirilmesi, kurumlar arası eş güdüm ve işbirliğinin yasalarla sağlanması gerekiyor. Denetim ve koordinasyon sürekli olmak kaydıyla, siber güvenlik konusu politikalarla desteklenmeli. Uluslararası saldırılarda kullanılan yöntemler ve sonuçları incelendiğinde durumun ne kadar yıkıcı olabileceği görülebilir. Nükleer santral çalışmalarının durdurulmasından, ülkelerin milli sırlarının ifşa edilmesine kadar birçok siber suç işlendi. Siber suçların yaygınlaşmasının temel sebeplerinden birisi olan, saldırı maliyetinin düşük olması, saldırı ihtimalini de artırıyor. Ne zaman, nereden, ne şiddette ve etkide bir saldırının geleceği tahmin edilemediğinden önlem almanın önemi daha da artıyor. Ekonomik ve sosyal yönelimleri de dikkate alarak siber güvenlik suçlarının azaltılması, saldırıya uğranılsa dahi en hafif etkiyle atlatılması konusunda “siber güvenlik algı yönetimi” politikası oluşturulmalı, başta kamu ve daha sonra özel sektör tarafından uygulanmalı.   Bilgi güvenliği ve Siber Güvenlik konusunda özel sektör ve kamu kurumlarında neler yapılmalıdır? Tüm dünyada olduğu gibi ülkemizde de bilgi güvenliği konusunda öncelikle farkındalığın artırılması gerekiyor. Bu doğrultuda da Bilim, Sanayi ve Teknoloji Bakanlığı, TÜBİTAK ve Bilgi Teknolojileri ve İletişim Kurumu son dönemde siber güvenlik amaçlı faaliyetlerini artırdı. Daha dinamik olan özel sektör ve kamunun ortak bir diğer sorunu da nitelikli eleman ihtiyacı ve farkındalığın yeterli seviyede olmaması. Daha proaktif süreçleri olan özel sektör siber güvenlik konusunda kamuyu nispeten geride bırakırken, kalifiye eleman açığı siber güvenlik açıklarının daha da riskli sonuçlar doğurması ihtimalini artırıyor. Tüm dünyada olduğu gibi ülkemizde de yöneticilerin ve konu hakkında karar verici konumda bulunan otoritelerin mevcut bilgi ve farkındalıklarının belirli bir olgunluk seviyesinin üzerine çıkarılması gerekiyor. Siber saldırılar sonrası ortaya çıkabilecek yıkıcı, prestij düşüren, ticari sırları ifşa eden sonuçlar, mevcut bilgi mirasına zarar verebilir. Bilgi güvenliği açısından sektörel bazda yapılan araştırma ve istatistik sonuçları gösteriyor ki,   özel sektör otoritelerinin de siber güvenlik alanında daha da olgunlaşmalı. İstatistiklere göre bilgi teknolojileri yöneticilerinin %75 gibi yüksek bir oranda siber güvenlik kapsamında aldıkları önlemleri yeterli bulduğu görülüyor. Bu yanlış kanıya ek olarak, yöneticilerin %50'sinden azı güvenlik ihlallerini önlemek için yamalama ve yapılandırma gibi standart araçları kullanıyorlar ve bunların son sürümlerini kullandıklarını söylüyorlar. Ayrıca ankete katılan güvenlik ekiplerinin yarısından azının yama ve yazılım yapılandırma yönetimi gibi standart araçlar kullanarak güvenlik ihlallerini önlemeye çalıştıklarını görüyoruz. Milli savunma konusunda yapılan çalışmaların yetkili otoritelerin elinden çıkması, ticari ve ekonomik sır içeren ürün ve hizmetlere ait bilgilerin saldırı yapan tarafın eline geçmesi gibi senaryolar düşünüldüğünde bu önlemlerin hem ciddi bir şekilde değerlendirilmesi hem de acilen uygulanması gerektiği ortaya çıkıyor. Bu sebeple, hem özel sektör hem de kamu işbirliği ve eşgüdümüyle geleneksel anlayış terk edilmeli, yenilikçi ve dinamik ekiplere söz hakkı tanınmalı. Siber güvenlik konusunda gerekli kaynağın ayrılması, bir siber güvenlik ekosisteminin oluşturulması ve desteklenmesi, ihtiyaçların güncellenmesi sonrasında koordine bir çalışma ortamının oluşturulması gerekiyor.